Il malware Triada, già noto alla comunità di cybersecurity, è tornato in scena con una nuova variante preinstallata su telefoni Android contraffatti, infettando oltre 2.600 dispositivi. Secondo un rapporto di Kaspersky, la maggior parte delle infezioni è stata registrata in Russia tra il 13 e il 27 marzo 2025. Triada è un malware modulare Android identificato per la prima volta nel 2016, progettato per rubare informazioni sensibili e trasformare i dispositivi infetti in botnet per attività dannose. In passato, veniva distribuito tramite app intermedie sul Google Play Store e attraverso mod di WhatsApp come FMWhatsApp e YoWhatsApp.

Negli ultimi anni, versioni alterate di Triada sono state trovate anche in tablet Android di marche sconosciute, TV box e proiettori digitali, come parte di una vasta truffa chiamata BADBOX. Questo schema sfrutta compromessi nella catena di fornitura hardware e mercati di terze parti per ottenere l'accesso iniziale. Questo comportamento è stato osservato per la prima volta nel 2017, quando il malware si è evoluto in un backdoor preinstallato nel framework Android, consentendo ai malintenzionati di controllare i dispositivi da remoto, iniettare ulteriore malware e sfruttarli per attività illecite.

Google, in un rapporto del 2019, aveva identificato un venditore chiamato Yehuo o Blazefire come probabile responsabile del caricamento del sistema con Triada. Le nuove varianti di Triada analizzate da Kaspersky sono integrate nel framework di sistema, permettendo al malware di replicarsi in ogni processo dello smartphone e consentendo agli attaccanti di avere accesso e controllo completo per svolgere diverse attività, tra cui rubare account di messaggistica, inviare messaggi furtivi su WhatsApp e Telegram, intercettare contenuti del browser web e sostituire numeri di telefono durante le chiamate.

È interessante notare che Triada non è l'unico malware trovato preinstallato in dispositivi Android. Nel maggio 2018, Avast ha scoperto che diversi modelli Android, inclusi quelli di ZTE e Archos, erano stati spediti con un adware chiamato Cosiloon. Dmitry Kalinin, ricercatore di Kaspersky, ha sottolineato che il Trojan Triada rimane una delle minacce più complesse e pericolose per Android, probabilmente a causa di compromissioni nella catena di fornitura. Gli autori della nuova versione di Triada stanno attivamente monetizzando i loro sforzi, trasferendo circa 270.000 dollari in criptovalute ai loro portafogli tra giugno 2024 e marzo 2025.

La comparsa di Triada si aggiunge alla scoperta di altri trojan bancari Android come Crocodilus e TsarBot, che prendono di mira applicazioni bancarie e finanziarie. Questi malware utilizzano servizi di accessibilità di Android per controllare i dispositivi infetti e condurre attacchi di overlay per carpire credenziali bancarie e dettagli delle carte di credito.